Windows Server 2012 R2 Geändertes Verhalten des DNS-Servers? An jede Abfrage wird der DNS-Suffix angefügt...

[crashbandicot]

Hallo,

gegeben ist ein Server 2012R2, die Domäne heißt 'int.contoso.de' und das DFL/FFL ist 2012R2. Wenn ich einen Server (z.B. srv01) per Hostnamen und nslookup abfrage funktioniert alles. Frage ich statt dem Hostnamen den FQDN bekomme ich erst Timeouts ("DNS request timed out. Timeout was 2 seconds.") und dann die IP geliefert. Füge ich hinter dem FQDN noch einen Punkt ein (srv01.int.contoso.de.) funktioniert die Abfrage wieder ohne Timeouts.

Mit aktiviertem nslookup Debug (set debug=on) sieht man auch wo der Hund begraben ist.

Hostname: 'nslookup srv01' ergibt 'Questions: srv01.int.contoso.de'
FQDN: 'nslookup srv01.int.contoso.de' ergibt 'Questions: srv01.int.contoso.de.int.contoso.de'
FQDN mit Punkt: 'nslookup srv01.int.contoso.de.' ergibt 'Questions: srv01.int.contoso.de'

Die Frage ist jetzt: Warum und seit wann ist das so? Kann/darf/sollte man dieses Verhalten abstellen (wie?) oder ist das "works as designed" und einfach eine Änderung gegenüber 2008R2?

 

[Evil E-Lex]

Das Verhalten kann ich hier nachvollziehen, ich bekomme aber keine Timeouts.

 

[crashbandicot]

Auch dein (2012R2?) Server hängt an jeden FQDN ohne abschließenden Punkt noch einmal den DNS-Suffix ran?

 

[d4nY]

Das Verhalten kann ich hier nachvollziehen, ich bekomme aber keine Timeouts.

Dito, die Domäne wird zwar angehängt, aber keine Timeouts

Server 2012 R2, das AD ist allerdings noch auf 2008 R2

 

[DocWindows]

Ist denn im DNS-Server die Forward Lookupzone int.contoso.local eingerichtet, oder nur die Zone int.contoso.de ?

 

[Evil E-Lex]

Auch dein (2012R2?) Server hängt an jeden FQDN ohne abschließenden Punkt noch einmal den DNS-Suffix ran?

Exakt. Wobei der Client bei seiner Anfrage das Suffix anhängt. Der Server verarbeitet die Anfrage ja nur. Client OS bei mir ist Win 10 1511 x64 Enterprise.

 

[Bisumaruku]

Selbes hier, aber es wird der FQDN nicht noch mal angehängt.

 

[Evil E-Lex]

Bei näherer Betrachtung ist das Verhalten völlig normal. Ein FQDN ist erst mit Punkt am Ende ein FQDN. Lässt man bei nslookup den Punkt weg, dann greift die Standardeinstellung für DNS-Anfragen: "Primäre und verbindungspezifische DNS-Suffixe anhängen". Daher wird das Suffix doppelt angehängt.

 

[crashbandicot]

@d4nY
Wird der DNS-Suffix auch doppelt angehängt?

@DocWindows
Sorry, da habe ich mich verschrieben. Es geht immer nur um int.contoso.de - es existiert keine .local!

@Evil E-Lex
Ich habe es immer vom Server (=2012R2) getestet. Magst du das bitte auch einmal testen? Beim Googlen sind mir auch einige Blogs unter die Finger gekommen, z.B. NSLOOKUP and requiring a trailing dot (http://blogs.msmvps.com/acefekay/2013/02/17/nslookup-suffixing-behavior/). Ich frage mich nur, warum sich das Verhalten so gravierend unterscheidet.

Wir betreiben mehrere (voneinander getrennte) Domänen, das ist jetzt die erste mit 2012R2 als DFL/FFL. Teste ich das Verhalten von einem Server 2012R2 gegenüber einer 2008R2 Domäne (DFL/FFL) habe ich dieses Verhalten nicht. Es muss also eine Änderung sein, die mit dem DFL/FFL zu tun hat.

@Bisumaruku
Bekommst du auch Timeouts?

 

[Evil E-Lex]

@Evil E-Lex
Ich habe es immer vom Server (=2012R2) getestet. Magst du das bitte auch einmal testen? Beim Googlen sind mir auch einige Blogs unter die Finger gekommen, z.B. NSLOOKUP and requiring a trailing dot (http://blogs.msmvps.com/acefekay/2013/02/17/nslookup-suffixing-behavior/). Ich frage mich nur, warum sich das Verhalten so gravierend unterscheidet.

Wir betreiben mehrere (voneinander getrennte) Domänen, das ist jetzt die erste mit 2012R2 als DFL/FFL. Teste ich das Verhalten von einem Server 2012R2 gegenüber einer 2008R2 Domäne (DFL/FFL) habe ich dieses Verhalten nicht. Es muss also eine Änderung sein, die mit dem DFL/FFL zu tun hat.

Ich habe auch auf unserem 2012R2 getestet. Verhalten ist gleich, keine Timeouts. DFL/FFL ist hier bei uns 2012 nicht 2012R2. Ich habe auch nochmal an einem anderen DC getestet, der läuft mit Server 2008. Da er dort der einzige DC ist ist DFL/FFL ebenfalls Server 2008. Der Verhält sich genauso wie unsere Server.
Ich teste nochmal mit einer Domäne, die DFL/FFL auf 2012 R2 hat...

Edit: Test erledigt!

Hier das Ergebnis:
> contosohv01.contoso.com
Server: contosodc01.contoso.com
Address: 192.168.0.32

------------
Got answer:
HEADER:
opcode = QUERY, id = 6, rcode = NXDOMAIN
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0

QUESTIONS:
contosohv01.contoso.com.contoso.com, type = A, class = IN
AUTHORITY RECORDS:
-> contoso.com
ttl = 3600 (1 hour)
primary name server = contosodc01.contoso.com
responsible mail addr = hostmaster.contoso.com
serial = 1321
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)

------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 7, rcode = NXDOMAIN
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0

QUESTIONS:
contosohv01.contoso.com.contoso.com, type = AAAA, class = IN
AUTHORITY RECORDS:
-> contoso.com
ttl = 3600 (1 hour)
primary name server = contosodc01.contoso.com
responsible mail addr = hostmaster.contoso.com
serial = 1321
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)

------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 8, rcode = NOERROR
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 1, authority records = 0, additional = 0

QUESTIONS:
contosohv01.contoso.com, type = A, class = IN
ANSWERS:
-> contosohv01.contoso.com
internet address = 192.168.0.31
ttl = 1200 (20 mins)

------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 9, rcode = NOERROR
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0

QUESTIONS:
contosohv01.contoso.com, type = AAAA, class = IN
AUTHORITY RECORDS:
-> contoso.com
ttl = 3600 (1 hour)
primary name server = contosodc01.contoso.com
responsible mail addr = hostmaster.contoso.com
serial = 1321
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)

------------
Name: contosohv01.contoso.com
Address: 192.168.0.31

>

> contosohv01.contoso.com.
Server: contosodc01.contoso.com
Address: 192.168.0.32

------------
Got answer:
HEADER:
opcode = QUERY, id = 10, rcode = NOERROR
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 1, authority records = 0, additional = 0

QUESTIONS:
contosohv01.contoso.com, type = A, class = IN
ANSWERS:
-> contosohv01.contoso.com
internet address = 192.168.0.31
ttl = 1200 (20 mins)

------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 11, rcode = NOERROR
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0

QUESTIONS:
contosohv01.contoso.com, type = AAAA, class = IN
AUTHORITY RECORDS:
-> contoso.com
ttl = 3600 (1 hour)
primary name server = contosodc01.contoso.com
responsible mail addr = hostmaster.contoso.com
serial = 1321
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)

------------
Name: contosohv01.contoso.com
Address: 192.168.0.31

 

[crashbandicot]

Ok, das Problem ist gelöst. Schuld war dass die eingetragenen öffentlichen DNS-Server nicht erreichbar waren (Firewall). Jetzt ist die Verbindung frei und die nslookup Auflösungen gehen ohne Timeout raus. Dass der DNS-Suffix immer noch 2x angehängt wird ist weiterhin so. Stört ja aber nicht weiter.

Sachen gibts...